LLMs verlängern Gespräche: Angriff nutzt Klärungsanfragen

In einer kürzlich veröffentlichten Studie auf arXiv wird ein bislang unbekannter Fehler in konversationellen Sprachmodellen (LLMs) aufgedeckt, der die Kosten für längere Dialoge in die Höhe treibt. Der Fehler, der als „Turn Amplification“ bezeichnet wird, führt dazu, dass ein Modell wiederholt nach Klarstellungen fragt und dadurch die Anzahl der Gesprächswechsel deutlich erhöht, ohne das eigentliche Ziel zu erreichen.

Die Forscher zeigen, dass Angreifer gezielt das Klärungsverhalten ausnutzen können – ein Verhalten, das in vielen Mehrfach-Dialog‑Setups sogar gefördert wird. Durch die Analyse der internen Mechanismen haben sie einen universellen Aktivierungsraum identifiziert, der unabhängig von der konkreten Anfrage für Klärungsanfragen sorgt. Dieser Raum macht die Angriffe robust gegen unterschiedliche Prompts und Aufgaben.

Die Studie demonstriert, dass sowohl Lieferkettenangriffe, bei denen Modelle vor dem Einsatz feinabgestimmt werden, als auch Laufzeitangriffe, die feine Parameterkorrekturen vornehmen, das Modell in Richtung eines abstrakten, klärungsorientierten Verhaltens verschieben. In Tests mit mehreren instruction‑tuned LLMs und Standard‑Benchmarks führt die Methode zu einem signifikanten Anstieg der Gesprächswechsel, während das Modell weiterhin konform bleibt.

Erfreulicherweise zeigen die Autoren, dass bestehende Verteidigungsmechanismen nur begrenzten Schutz bieten. Die Erkenntnisse legen nahe, dass neue Sicherheitsstrategien erforderlich sind, um die Effizienz und Zuverlässigkeit von LLM‑Dialogsystemen zu gewährleisten.